癷”保障未来
无论用的是11a、b还是g,大多数企业用户仍因为WEP的安全漏洞而担心WLAN。虽然前面提到了一些变通方案如VPN,但名为802.11i(11i)的新的安全标准将成为重要的802.11扩展名之一,值得关注。
重要的是,11i最终将集成三重数据加密标准(3DES)的后续标准:先进加密标准(AES)。但加密无线流量只解决了一半安全问题。另一半是验证,因为倘若你不知道另一端是谁,对连接进行加密也就毫无意义。11i将利用802.1x验证协议同时处理安全(AES)和验证,这种协议实际上是基于LAN的扩展验证协议(EAPoL)。由于内置于微软Windows XP,802.1x得以广泛部署。
802.1x是一种端口验证协议,要求用户在接入LAN之前验证身份才能访问网络设备。虽然目前XP是本地支持802.1x的唯一OS,但对其它系统而言还有第三方的解决方案。此外,802.1x已经集成在Cisco、Enterasys和Avaya等厂商供应的交换机和WLAN设备里面。
11i将分两个阶段推广。第一个阶段涉及实施临时密钥完整性协议(TKIP),TKIP又名为WEP2。Cisco无线网络经营单位的产品管理主管迈克?安德鲁斯说,TKIP由Cisco开发,用于802.11。据安德鲁斯声称,TKIP通过以下方式加强WEP的安全:检查消息完整性、每数据包密钥散列、初始化向量排序及快速重定密钥。
安德鲁斯说,加强安全的措施还支持动态密钥加密(不同于WEP当中的静态密钥)、可伸缩密钥管理以及802.1x/EAP相互验证。
预计到2002年底TKIP会最后定下来,现被认为是全面迁移至11i第二阶段(AES)之前的权宜之计。TKIP只需要升级固件。
然而Cisco的菲尔诺说,TKIP出现在Cisco WLAN产品当中已将近一年。他预计,Cisco设备中的TKIP与最终标准不会有任何问题。他又说,至多自由下载升级固件。
Intel的麦克阿里斯特强调,TKIP会使性能影响5%到10%,这是由于增添的加密所致。菲尔诺认为Cisco产品只会影响2%到3%,因为Cisco设备采用硬件实现加密。他说:“TKIP对采用软件加密的设备来说是个问题,性能可能会下降15%到20%。”
即便11i定下来,它仍主要是一种LAN安全措施。无论从公共、无线还是有线网络访问企业网络,都应该使用VPN。
“b”蕴含机遇
11a也许会逐渐发展,但11b具有的功能已能应付大部分的企业无线需求。而且出现了新的机会:行业仍在逐渐进入11b无线热点(hotspot)。ISP刚开始认识到在商业热点提供企业服务的机遇,尤其是在这种“公共网络”的AP重新链接至中心骨干网的时候。
Gartner的辛普森说:“人们继续热衷于热点。GRIC和iPass以及美国的Boingo公司现成为WLAN接入热点的聚合商。”但辛普森又说,目前这种服务比较适合于熟悉技术内情的无线狂热者及移动白领员工,而不是企业用户。
辛普森认为明年会出现这股趋势:不断涌现出建立公共接入无线基础设施的大公司,譬如ISP和系统集成商(SI)。辛普森说:“这些IT公司看到了聚合临界数量的热点所蕴含的机会,因而会承担起推广的责任。”他强调,热点的迅猛发展还将受便携式电脑制造商以及它们是否开始集成WLAN功能作为标准配置的影响。
他列举酒店的宽带商业模式就是一个成功模式。现在酒店把有线宽带布入客房,因为商务旅行者需要这样。辛普森说:“酒店提供有线宽带是因为不想丢掉生意。”但即便服务有了需求,购买服务的决策仍只是一种选择。辛普森说:“应该将WLAN接入视为临时性决策。只有决定要用时才付费。这不应该是每月收费的服务。”
他又说:“WLAN服务商并未理解这种商业模式,而是试图收取订购费,这一事实表明了WLAN公共接入市场的不成熟。”